VS meldt actief misbruik van kritieke SolarWinds-kwetsbaarheid

Als het actief misbruikt wordt, waarom zou je wachten?

En als er een mail gestuurd wordt naar de gebruikers, dan is het binnen mum van tijd toch wel openbaar.

Het lijkt mij dat het doel van zulke kwetsbaarheden aan de grote klok hangen gebruikers snel laten patchen is.
Dat voelt misschien niet helemaal fair, maar de ervaring leert dat als je het niet meldt, de patch veel later pas doorgevoerd wordt met alle gevolgen van dien.

[Reactie gewijzigd door DnJealt op 20 augustus 2024 08:15]

Die mail is dus al op 13 augustus en vermoedelijk nog eerder de deur uit gegaan. Dit bericht komt dan ook al laat, en niet vroeg. Dit is een prio 1 patch blijkbaar omdat er al actief misbruik van wordt gemaakt. Anders neemt CISA hem niet zomaar op in de KEV. Dan moet je eigenlijk binnen enkele dagen die patch kunnen uitrollen. Vanuit een vendor gezien wordt de mail zo snel mogelijk de deur uit gedaan, vaak al voor de patch klaar is, zodat beheerders voorbereid zijn. Op dat moment gaat vaak ook een bericht naar CISA, Cybersecurity Centra, etc met een classificatie van 'niet publiek'. Paar dagen erna volgt dan de publieke informatie als alle klanten bereikt zijn en de patch hadden kunnen installeren.

Kwaadwillenden waren al op de hoogte van de patch, anders wordt er niet al actief misbruik van gemaakt. Op deze manier wordt echter ook management wakker geschud en beheerders die de mail gewoon negeren. Management gaat vragen stellen, zeker met in het achterhoofd dat er niet heel lang geleden ook nogal wat problemen waren met Solarwinds.

Ik heb zelf nog niet zo lang in het verleden gezien dat sommige beheerders zelfs na 3x bellen en aandringen vanuit de vendor gewoon een patch niet installeren.

En wat is het verschil tussen dit publiek zetten en dit naar tienduizenden klanten sturen waardoor honderdduizenden mensen het lezen waarvan een deel het alsnog zal doorsturen naar de pers of gaat herposten op onder andere reddit?

En van zodra je een nieuwe versie uitbrengt, komen daar release notes bij. In die notes staat wat je hebt aangepast. Je kan dan wel simpelweg zeggen dat je een ernstige kwetsbaarheid hebt opgelost, maar dat is al voldoende voor aanvallers om op zoek te gaan naar wat er veranderd is en mogelijks alsnog de bug te reproduceren.

Neen, publiek bekend maken is de beste manier om er zeker van te zijn dat iedereen die het moet weten zo snel mogelijk op de hoogte wordt gesteld. Je wil niet weten van hoeveel kanten ik bijv. melding krijg als er ergens een ernstige kwetsbaarheid gevonden wordt in een product dat wij gebruiken. Gewoon maar omdat mensen zeker willen zijn dat we er ons bewust van zijn. Dat verlies je allemaal als je alles zou gaan verbergen. De ernst en de hoogdringendheid verdwijnen op zo een moment. En 1 enkel mailtje kan je al eens snel over lezen of gewoon missen.

Van zodra er een fix is gooi je alles wat je kan delen gewoon online, zodat iedereen zelf kan inschatten hoe ernstig het is, maar ook zodat bijvoorbeeld vendors van software die je moet helpen beschermen ook op de hoogte zijn. Zij moeten ook weten welke oplossingen er allemaal mogelijk zijn.

En wat als aanvallers het lek al misbruiken? Ook dan lijkt het mij het beste van het gewoon publiek te maken wat het lek is en hoe je het kunt tegen gaan.

Hackers die naar exploits zoeken kijken ook gewoon mee in code van de patches om te zien wat er veranderd is om zo te kijken of er iets te exploiten valt.

Op zich heb je best een punt maar als je alle klanten een bericht stuurt bereikt dat sowieso ook de media.
Ook lezen klanten vaak niet alle berichten die ze krijgen van leveranciers en wordt software vaak via resellers verkocht. Dus je kunt er niet vanuit gaan dat je iedereen herijkt. Daar kan publieke aandacht juist goed bij helpen.
En aangezien het lek actief misbruikt wordt kun je ook aannemen dat het in kwade kringen al ruim bekend is.

Dan kan je je ook afvragen hoe goed die patch getest is.

Het feit dat het reproduceren niet lukt wil niet automatisch zeggen dat de rapportering van de kwetsbaarheid foutief is. Je vertrouwt er op dat moment op dat diegene die het gerapporteerd heeft een systeem had in een configuratie waardoor het wel zonder authenticatie kan.

Misschien zijn er wel logs die aanduiden dat er geen login geweest is (bijvoorbeeld omdat een succesvolle login altijd gelogd wordt) maar geen logs die inzage geven in hoe de bypass werkt.

CISA is vrij stellig

CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation.

Een vulnerability wordt alleen aan KEV toegevoegd op het moment dat het actief misbruikt wordt.
Zie ook https://www.cisa.gov/known-exploited-vulnerabilities